GDPR Notları

Ercüment ARI 
Data Protection Officer & InfoSec Director,
CIPM, CGEIT, CRISC, CRMA, CISM, CISA, CEH, ISO 27001 / 22301 / 20000 LA, CobIT

 

Edward Snowden, Maximillian Schrems, Mario Costeja Gonzalez…

Soru: Bu üç kişinin ortak noktası nedir?

Şu şekilde yanıtlarsak yanlış cevap vermiş olmayacağız:

Kendilerinin; Avrupa Birliğinin 1995 yılında kabul ettiği ve sonrasında tüm birlik ülkelerinde bir şekilde uygulamaya başlanan Data Protection Directive (Veri Koruma Direktifi)’in ölmesine neden olan sebeplere, doğrudan veya dolaylı olarak çorbada tuz desteği faaliyetleri olmuştur. Zira;

  • Snowden‘in ortaya çıkardığı NSA’in Facebook, Google, Apple, vb mahremiyet ihlalleri,
  • Schrems‘in Facebook’un kişisel verileri koruma taahhütlerine aykırı geldiğine dair başvuru yaptığı İrlanda Veri Koruma Otoritesi’ne açtığı dava,
  • Gonzalez‘in Google İspanya ve Google Inc.’e karşı “unutulma hakkı”na dair hukuksal mücadelesi,

hepsi bir şekilde Avrupa Birliği Adalet Divanında, dava dosyalarında konu olarak geçmiş ve yaşlı DPD’nin artık yetersiz ve günümüze ayak uyduramadığı kanılarını pekiştirmiştir.

Neticede bu değişime ayak uyduramayan direktifin yerine; kişisel verilerin korunmasında daha sağlıklıuyumluetkintek pazar stratejisini besleyecek şekilde serbest akışa izin verecek dinamiklikte, tüm üye ülkelerin hukuki olarak aynı dili ve kuralları ortak paydada buluşturacağı, bireysel hakları daha koruyucu bir regülasyon olan General Data Protection Regulation (GDPR), 2016’nın Nisan ayında Avrupa Parlamentosu tarafından onaylanarak kabul edildi. Mayıs 2016’da tüm Avrupa Birliği resmi dillerinde ve Avrupa Birliği Resmi Gazetesi’nde yayınlandı. GDPR, 24 Mayıs 2016 tarihinde yürürlüğe girse de iki senelik bir uyum termini sonrası 25 Mayıs 2018’de uygulanmaya başlanacaktır.

Şimdi; 25 Mayıs 2018’de hayata geçecek ve tüm Avrupa’nın (ve ilgili diğer ülkelerin) harıl harıl hazırlandığı bu regülasyonu genel manada tanımaya çalışalım. (Alttaki başlıklar norm değildir, eklemeler yapılabilir)

1.GDPR Kapsamı

GDPR Düzenlemesi; veri sorumlusu (AB sakinlerinden veri toplayan kuruluş) veya veri işleyen (veri sorumlusu adına veri işleyen kuruluş) veya verisi işlenen ilgili kişiAB’de bulunuyorsa geçerlidir. Ayrıca düzenleme; Avrupa Birliği dışında konuşlanmış fakat AB sakinlerinin kişisel verilerini toplayan veya işleyenler organizasyonlar için de geçerlidir. Avrupa Komisyonu’na göre “kişisel veriler, bir kişiye ait özel, mesleki ya da kamu yaşamıyla ilgili olsun olmasın herhangi bir bilgi olarak tanımlanmaktadır. Bir ad, ev adresi, fotoğraf, e-posta adresi, banka ayrıntıları, sosyal ağ sitelerindeki mesajlar, tıbbi bilgiler veya bir bilgisayarın IP adresi gibi herhangi bir bilgi olabilir.

2. Tekli Kural Seti ve Tek Yetkili Mercii

Regülasyona göre bütün AB üyesi ülkelere, tek bir kural seti uygulanacaktır. Her üye devlet; şikayetlerin iletilmesi ve soruşturulması, idari suçların cezalandırılması vb. için bağımsız bir Denetim Otoritesi (SA) kuracaktır. Her bir üye devletin SA’ları, karşılıklı destek sağlayarak ve ortak operasyonlar düzenleyerek diğer SA’larla işbirliği yapacaklardır. Bir işletmenin AB’de birden fazla kuruluş bulunduğu yerlerde(ülkelerde) “ana kuruluşunun” bulunduğu yere (diğer bir deyişle ana işleme faaliyetlerinin gerçekleştiği yere) dayalı “Baş Otorite (Lead Authority)” olarak tek bir SA’ya sahip olacaktır. Baş Otorite , söz konusu işletmenin AB genelindeki tüm işleme faaliyetlerini denetlemek için bir “tek yetkili mercii (one-stop shop)” (GDPR 46-55. maddeleri) olarak hareket edecektir. Bir Avrupa Veri Koruma Kurulu (EDPB) SA’ları koordine edecektir. Working Party 29 Çalışma Grubu’nun yerini EDPB alacaktır.

3. Sorumluluklar ve Yükümlülükler

Bildirim/aydınlatma gereksinimleri yine mevcut ama genişletilmiş şekilde hayata geçirilmekte. Bu gereksinimler; kişisel verilerin saklama süresini, veri sorumlusu ve veri koruma görevlilerinin iletişim bilgilerini de ihtiva etmektedir.

Profil oluşturma (Madde 22) da dahil olmak üzere otomatize edilmiş bireysel karar verme mekanizmalarına itiraz edilebilir hale gelinmiştir. Artık birey; kendisini etkileyen, tamamen algoritmik temellere dayanan kararları sorgulayabilir ve bunlara karşı mücadele edebilir.

Veri sorumlusu; GDPR’a uyumluluk çerçevesinde, “standart gizlilik ve mahremiyete göre tasarım” ilkelerine uygun önlemleri yerine getirmelidir. Standart Gizlilik ve Mahremiyete Göre Tasarım (Madde 25); veri koruma önlemlerinin, ürün ve hizmetler için iş süreçlerinin geliştirilmesi esnasında tasarlanmasını gerektirmektedir. Kişisel veriler için bulanıklaştırma veya diğer kullanımı ile takma ad/rumuz kullanımının (pseudonymity) da dahil olduğu bu gibi önlemler, veri sorumlusu tarafından sürece mümkün olduğunca çabuk dahil edilmelidir. (Mütalaa /Recital 78).

Etkin önlemleri uygulamak ve veri işleme faaliyetlerinin regülasyona uyumluluğunu sağlamak; işlemenin, veri sorumlusu adına bir işleyen tarafından gerçekleştirildiği durumlarda dahi, veri sorumlusunun yükümlülüğü ve sorumluluğundadır. (Mütalaa/Recital 74).

İlgili kişinin hak ve özgürlüklerinde belirli riskler ortaya çıktığı zaman, Veri Koruma Etki Değerlendirmeleri – DPIA (Madde 35) yapılmalıdır. Eğer yüksek riskler mevcut ise risk değerlendirmesi ile azaltımı ve Veri Koruma Otoritesinin (DPA) ön onayı gerekmektedir. Veri Koruma Görevlileri (DPO); (Madde 37-39) organizasyonlarda regülasyona uyumun güvencesi için yer almaktadır.

Veri Koruma Görevlileri (DPO) atanması aşağıdakiler durumlarda elzemdir:

* Tüm kamu otoriteleri için, (kendi adli görevini ifa eden mahkemeler hariç)

* Veri sorumlusu veya işlemcisinin temel faaliyetleri aşağıdakilerden oluşuyorsa:

* Doğası gereği, kapsamları ve / veya amaçları gereği, ilgili kişinin geniş çapta düzenli ve sistematik olarak izlenmesini gerektiren işleme faaliyetleri

* Madde 9’a istinaden, özel kategorilerdeki kişisel verilerinin büyük bir kısmının işlenmesi ve Madde 10 ‘de belirtilen mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin işlenmesi,

4. Rıza

Toplanan veriler ve kullanılan verilerin amaçları için; geçerli rıza açık ve net olmalıdır (Madde 7, Madde 4’te de tanımlanmıştır). Çocuklar için onay, çocuğun ebeveyni veya velisi tarafından verilmelidir ve doğrulanabilir olmalıdır (Madde 8). Veri sorumluluları, “rıza”yı (opt-in) kanıtlayabilmelidir ve rıza geri çekilebilir.

5. Veri Koruma Görevlisi (DPO)

Mahkemeler veya adli yetkiler ile hareket eden bağımsız yargı otoriteleri hariç olmak üzere, veri işlemenin bir kamu otoritesi tarafından gerçekleştirildiği hallerde veya özel sektör için; ana faaliyet alanı, verisi işlenen kişilerin düzenli ve sistematik olarak izlenmesini gerektiren operasyonları yürütmek olan bir veri sorumlusu tarafından gerçekleştirildiği durumlarda, veri koruma kanunu ve uygulamaları konusunda uzman bilgisi olan bir kişi, veri sorumlusuna veya işleyene bu Regülasyona uyumun denetlemesinde yardımcı olmalıdır.

DPO (Veri Koruma Görevlisi) rolü Uyum Görevlisi rolüne benzemekle beraber, hatta her ikisinin de BT süreçlerinin yönetilmesi, veri güvenliği (siber saldırılarla iştigal de dahil olmak üzere) ve diğer kritik iş sürekliliği gibi kişisel ve özel nitelikli (hassas) verileri kontrol altında tutma ve işleme konularında yetkin olması beklense de, aynı şapka ve pozisyon değildir. Gerekli olan beceri seti, veri koruma kanunları ve yönetmeliklerine yasal uyumun anlaşılmasının ötesinde bir alan gerektirmektedir.

Bir DPO’nun büyük bir organizasyonda atanması, Kurul ve bunun yanı sıra ilgili kişiler için bir zorluk teşkil edecektir. Kurum ve organizasyonların atamanın kapsamı ve niteliği göz önüne alındığında ele alması gereken sayısız yönetişim ve insan faktörü sorunları vardır. Buna ek olarak, makam sahibi görevlendirme sonrası kendi destek ekibini oluşturması gerekecek ve kendi mesleki gelişimlerinden sorumlu olarak etkin bir “mini regülatör” olarak kendisini çalıştıran kuruluştan bağımsız olması gerekmektedir.

6. Bulanıklaştırma (Pseudonymisation)

GDPR, bulanıklaştırmayı (bazı durumlarda takma ad veya rumuz kullanımı olarak da geçebiliryor); ilgili kişinin kişisel verilerini, işlem sonrası ortaya çıkacak veri için, ek bilgi kullanılmadan o ilgili kişi ile ilişkilendirilemeyecek şekilde dönüştüren bir süreç, olarak ifade etmektedir. Bulanıklaştırmaya örnek olarak; orijinal veriyi anlaşılmaz hale getiren ve işlemi, doğru şifre çözme anahtarına erişmeksizin, tersine çeviremeyecek bir yöntem olan şifreleme (encryption) verilebilir. GDPR, bu ek bilgilerin (şifre çözme anahtarı gibi) bulanıklaştırılmış verilerden ayrı olarak muhafaza edilmesini gerektirir. Söz konusu ilgili kişi verilerinin, risklerini azaltmak ve veri sorumluları ile veri işleyenlerin veri koruma yükümlülüklerini yerine getirmelerinde yardımcı olması için bulanıklaştırma önerilmektedir (Mütalaa /Recital 28).

Kişisel veri, veri sorumlusu tarafından yeterli iç politika ve önlemler ile bulanıklaştırılıyorsa, etkin bir şekilde anonimleştirilmiş olarak kabul edilir ve GDPR’ın kontrol ve cezalarına tabi değildir. “Standart gizlilik ve mahremiyete göre tasarım” ilkelerine uygun politika ve önlemler, bu amaç için yeterli kabul edilmelidir. Tedbirlere örnek olarak; verileri mümkün olan en kısa sürede bulanıklaştırmak (Mütalaa /Recital 78), verileri bulundukları lokasyonda şifrelemek, şifre çözme anahtarlarını şifrelenmiş verilerden ayrı olarak muhafaza etmek, verilebilir.

Regülasyon, istatistiksel veya araştırma amaçları da dahil olmak üzere, anonim olarak kabul edilen bilgilerin işlenişi ile ilgili değildir.

7. İhlaller

GDPR kapsamında, Veri Sorumlusunun gecikme olmaksızın Denetim Otoritesi‘ne bilgi vermesi yasal yükümlülüğü altında olacaktır. Bir veri ihlalinin raporlanması herhangi bir ayrıntılı standarda tabi değildir ve veri ihlalinden sonra 72 saat içinde Denetleme Kurumuna bildirilmelidir (Madde 33). Olumsuz etki tespit edilirse bireylerin bilgilendirilmesi gerekir (Madde 34). Buna ek olarak veri işleyen, kişisel bir veri ihlalinden haberdar olduktan sonra veri sorumlusunu gecikmeden bilgilendirmek zorundadır (Madde 33).

Bununla birlikte, veri işleyen veya sorumlusu, anonim verilerinin ihlal edilmesi durumunda ilgili kişiyi bilgilendirmesi gerekmez. Veri sorumlusu; veri ihlalinden etkilenen kişisel verilere, şifreleme gibi bulanıklaştırma tekniklerinin yanı sıra yeterli teknik ve kurumsal koruma önlemleri uyguladıysa, ilgili kişiye duyuru yapılması gerekli değildir (Madde 34).

8.Yaptırımlar

Aşağıdaki yaptırımlar uygulanabilir:

* İlk ve kasıtsız uygunsuzluk durumlarında yazılı bir uyarı

* Düzenli periyodik veri koruma denetimleri

* Organizasyona göre, 10.000.000 EUR veya bir önceki mali yıla ait yıllık dünya cirosunun %2’sine kadar olan ceza, hangisi daha büyük miktar ise (Madde 83, Parag 4)

* Bir grubun bir iştiraki olmasına göre, hangisi daha büyük miktar ise, ihlal veya uygunsuzluk ve verileri sahiplerinin kayıp veya hasar sonuçlarının büyüklüğü dahilinde, önceki mali yılın yıllık dünya çapında konsolide cirosunun% 20’sine veya 20.000.000 EUR’ye kadar bir para cezası (Madde 83, Paragraf 5)

9. Silinme Hakkı

Unutulma Hakkı, Mart 2014’te Avrupa Parlamentosu tarafından kabul edilen GDPR’e göre daha sınırlı bir silinme hakkı ile değiştirildi. (Madde 17) İlgili Kişinin kendi kişisel verilerinin; kişisel verilerinin korunmasını gerektiren ilgili kişinin menfaatleri veya temel hak ve özgürlükleri tarafından veri sorumlusunun meşru çıkarlarını geçersiz kılan bir durumu da (6.1.f) ihtiva eden 6. maddeye (meşruiyet) uyumsuzluk gibi birtakım gerekçelerin herhangi biri yüzünden, silinmesini talep etme hakkına sahiptir

10. Veri Taşınabilirliği

Bir kişi; kişisel verilerini, veri sorumlusu tarafından bunu yapmaktan alıkoyulmaksızın, bir elektronik işleme sisteminden başka bir elektronik işleme sistemine aktarabilir. Buna ek olarak veri, veri sorumlusu tarafından yapılandırılmış ve yaygın olarak kullanılan Açık Standart (Open Standard) elektronik formatta sağlanmalıdır. Veri taşınabilirliği hakkı, GDPR’ın 20. maddesinde yer verilmektedir. Hukuk uzmanları, bu kontrolün final halinde, “Madde 18’in (düzenlemede 20 olarak güncellenmiştir) şart koşulan, iki veri sorumlusunun veri taşınabilirliği, kapsamının dışına taşan” yaratılmış bir “yeni hak” görmektedirler.

11. Mahremiyete Göre Tasarım ve Standart Gizlilik

Mahremiyete Göre Tasarım ve Standart Gizlilik (Madde 25); ürün ve hizmetler için veri korumasının, iş süreçlerinin geliştirilmesi safhasında tasarlanmasını gerektirir. Bu; gizlilik (mahremiyet) ayarlarının varsayılan olarak yüksek bir seviyede düzenlenmesini ve veri sorumlusu tarafından, bütün veri işleme yaşam döngüsü boyunca regülasyona uygun olarak işlendiğinden emin olunması için, teknik ve prosedürel önlemlere dikkat edilmesini gerektirir. Veri sorumlusu kişisel verilerin, yalnızca belirli bir amaç için gerekli olduğunda işlenmesini sağlamak için, mekanizmalar da uygulamalıdır. ENISA (Avrupa Birliği Ağ ve Bilgi Güvenliği Ajansı) tarafından hazırlanan bir raporda, standart gizlilik (mahremiyet) ve veri koruması elde etmek için, neler yapılması gerektiğine dair klavuz bilgilere yer verilmiştir.